Вход

ЧЕК-ЛИСТ: Аудит персональных данных в медицинской организации

28.08.2025 Юридический комплаенс Эксперт по защите данных

Полный чек-лист для внутреннего аудита персональных данных в клинике. Помогает выявить риски, подготовиться к проверкам Роскомнадзора и снизить вероятность штрафов.

База знаний / ЧЕК-ЛИСТ: Аудит персональных данных в медицинской организации
Процесс аудита требует системного подхода и внимания к деталям на каждом этапе.
Процесс аудита требует системного подхода и внимания к деталям на каждом этапе.

Этап 1: Подготовка к аудиту

Назначение ответственных

Издайте приказ о проведении внутреннего аудита. Назначьте ответственного за организацию и проведение проверки (часто это ответственный за обработку ПДн).

Определение области проверки

Определите, какие процессы, отделы и информационные системы будут проверяться. Например: регистратура, отдел кадров, бухгалтерия, медицинская информационная система (МИС), сайт клиники.

Сбор исходных данных

Соберите все действующие документы, касающиеся обработки ПДн: политики, положения, приказы, согласия, договоры.

Этап 2: Анализ документации (Локальные нормативные акты)

Политика обработки ПДн

Проверьте, есть ли Политика, доступна ли она на сайте клиники и на информационном стенде. Актуально ли ее содержание?

Согласие на обработку ПДн

Убедитесь, что формы согласий соответствуют требованиям ст. 9 152-ФЗ. Собираются ли отдельные согласия на обработку общих данных, специальных категорий (здоровье) и на распространение (если применимо)?

Положение об обработке и защите ПДн

Проверьте наличие и актуальность внутреннего Положения, определяющего порядок работы с данными в организации.

Уведомление в Роскомнадзор

Сверьте данные, поданные в Роскомнадзор, с реальными процессами обработки ПДн в клинике. Если появились новые цели или категории данных, необходимо внести изменения.

Ключевой вывод

Ключевая задача аудита документации — убедиться, что каждый процесс обработки данных (от записи на прием до хранения медкарты) имеет юридическое основание и задокументирован.

Этап 3: Проверка технических мер защиты

Контроль доступа

Проверьте, есть ли у сотрудников разграниченные права доступа к МИС и другим системам. Имеет ли маркетолог доступ к медицинским записям? Если да — это нарушение.

Антивирусная защита

Убедитесь, что на всех рабочих станциях и серверах, где обрабатываются ПДн, установлено и регулярно обновляется антивирусное ПО.

Резервное копирование

Проверьте, настроено ли резервное копирование баз данных (особенно МИС). Как часто оно делается и тестировалось ли восстановление?

Этап 4: Оценка организационных мер

Ознакомление сотрудников

Все ли сотрудники, имеющие доступ к ПДн, ознакомлены под подпись с локальными актами (Политикой, Положением, инструкциями)?

Учет машинных носителей

Ведется ли журнал учета флешек, внешних дисков и других носителей, на которых могут храниться ПДн?

Физическая охрана

Как организовано хранение бумажных документов (медицинских карт, договоров)? Есть ли запираемые шкафы, ограничен ли доступ в архив/регистратуру?

Типичные нарушения и штрафы

Игнорирование требований законодательства приводит к крупным штрафам. Роскомнадзор активно проводит проверки, и медицинские центры находятся в зоне повышенного внимания.

Проблема — Решение

Проблема: Согласие "на всё"

Клиника использует единую форму согласия, в которой пациент подписывается под всеми возможными целями обработки, включая маркетинговые рассылки и передачу данных партнерам.

Правильное решение

  • Разделить согласия по целям.
  • На обработку ПДн для оказания медуслуг — одно согласие.
  • На получение рекламных SMS/email — отдельное согласие.
  • На передачу данных в страховую или лабораторию-партнера — еще одно.
  • Все согласия должны быть конкретными, информированными и сознательными.

Многие клиники до сих пор считают, что подписанного договора на оказание платных медицинских услуг достаточно. Это опасное заблуждение. Отсутствие правильно оформленного письменного согласия на обработку специальных категорий ПДн — это прямое нарушение, которое легко выявляется при первой же проверке.

— Юрий Носов, специалист по комплаенсу в медицине

Примеры таблиц

Ваша система позволяет гибко настраивать таблицы с любым количеством колонок. Вот несколько примеров.

Ключевые документы для проверки
Политика обработки персональных данных
Положение о защите персональных данных
Приказ о назначении ответственного
Формы согласий пациентов
Журнал учета обращений субъектов ПДн
Тип персональных данных Примеры в медицинской карте
Общие ФИО, адрес, номер телефона, паспортные данные
Специальные Диагноз, результаты анализов, история болезни
Биометрические Фотография (если используется для идентификации)
Угроза безопасности Возможный источник Пример меры защиты
Утечка данных Взлом сервера МИС Использование межсетевого экрана, регулярное сканирование
Несанкционированный доступ Сотрудник регистратуры Разграничение прав доступа, ведение логов действий
Утрата бумажных носителей Архив, кабинет врача Сейфы, запираемые шкафы, контроль доступа в помещения

Часто задаваемые вопросы (FAQ)

Как часто нужно проводить аудит?

Рекомендуется проводить полный внутренний аудит не реже одного раза в год, а также при любых существенных изменениях в процессах обработки данных (например, при внедрении новой МИС или запуске онлайн-записи на сайте).

Нужно ли согласие на обработку ПДн, если пациент пришел по полису ОМС/ДМС?

Да, нужно. Хотя обработка данных в медико-профилактических целях является исключением, когда согласие может не требоваться, судебная практика и позиция Роскомнадзора говорят о необходимости получения письменного согласия во избежание споров. Это защищает как клинику, так и пациента.

Что делать, если в ходе аудита выявлены нарушения?

Необходимо составить план корректирующих мероприятий с указанием конкретных задач, сроков и ответственных лиц. Например: "Разработать и внедрить новую форму согласия до 01.10.2025, ответственный — юрист Петров И.И.". Главное — не просто найти, но и исправить несоответствия.

Остались вопросы после прочтения?

Наш эксперт по защите данных готов ответить на них и помочь с аудитом в вашей организации.

Задать вопрос эксперту

Читайте также

Актуально

Организация деятельности врачебной комиссии в медицинской организации: от создания до контроля

Полное методическое руководство для руководителей и сотрудников медицинских организаций по организации работы врачебной комиссии (ВК) в соответствии с актуальными нормативно-правовыми требованиями.

Читать далее
Актуально

Локальные нормативные акты для клиники: Полное руководство по разработке и внедрению

Ключевые локальные нормативные акты (ЛНА) для медицинской клиники. Как правильно разработать документы, избежать штрафов и успешно пройти процедуру лицензирования и проверки Роспотребнадзора.

Читать далее